ProduktOpenSSL – wersja 3.0.0 to 3.0.6
Numer CVECVE-2022-3602
Krytyczność9.1/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisLuka wynika z błędu granicznego podczas przetwarzania pola adresu e-mail w certyfikacie X.509. Zdalny atakujący może dostarczyć aplikacji specjalnie spreparowany certyfikat, wywołać 4-bajtowe przepełnienie bufora i wykonać dowolny kod w systemie docelowym. Pomyślne wykorzystanie tej luki może skutkować całkowitym złamaniem luki w systemie, ale wymaga podpisania złośliwego certyfikatu przez urząd certyfikacji lub kontynuowania weryfikacji certyfikatu przez aplikację pomimo niepowodzenia utworzenia ścieżki do zaufanego wystawcy.
  
Numer CVECVE-2022-3786
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisLuka wynika z błędu granicznego podczas przetwarzania długości pola adresu e-mail w certyfikacie X.509. Osoba atakująca zdalnie może dostarczyć specjalnie spreparowany certyfikat do aplikacji, spowodować przepełnienie bufora i awarię aplikacji.
  
AktualizacjaTAK
Linkhttps://www.openssl.org/news/secadv/20221101.txt